5、以管理或終止僱傭關係為目的的收集、使用及披露個人資料的法律範圍
1)雖然雇員不需要表示同意,但僱主必須通知其雇員其收集、使用 或披露個人信息數據的目的,但PDPA沒有規定通知的形式和方式。
2)為避免產生疑問,企業應具備向員工提供提出收集、使用和披露數據的目的的一般通知(例如:性能評估),企業應在每次收集員工個人信息前提供相應通知。
3)屬於「管理或終止僱傭關係」目的的個人信息數據範圍:
- 利用雇員的銀行帳戶信息對其發放工資
- 監查雇員在上班期間如何使用電腦網絡資源及公司內部網絡資源
- 管理工作人員福利計劃(例如:培訓/教育補貼)。
4)只要是有效或合法的目的情況下,企業可以繼續保留關於前雇員的個人數據。但是,在沒有明確界定的目的的情況下,不應保留個人數據信息。如果數據是在不確定的目的下和不確定的時間範圍內,則會相應增加違反PDPA條例的風險。
6、如果員工不遵守PDPA,公司需要承擔哪些「責任」?
1)企業對雇員在受僱期間所造成的任何違反行為負責 。特別是,在該僱傭過程中由雇員從事的任何行為或行為,不論其是否在此之前得到僱主的批准,均應由企業負責。
2)PDPA對「雇員」的定義中包括志願人員,對「僱傭」的定義中包括在無償志願服務關係下的工作。
(四)違反PDPA的法律後果
對於違反PDPA數據保護義務的機構,可能受到以下處罰:
1、停止違法收集、使用或披露個人數據;
2、刪除違法收集的個人數據;和/或
3、向被侵害人提供個人數據的訪問和糾正權限;
4、PDPA後續修訂,將罰款的最高額提升至組織年度總營業額的 10%,或 100 萬新加坡幣(二者中取其高)。
除此之外,個人也有權向 PDPC 的主管部門進行投訴,以尋求有效的司法救濟、 獲得禁止令或從組織處就其法所造成的損失獲得賠償。
三、《關於國民身份號碼及其他類別國民身份號碼的〈個人數據保護法令〉諮詢指引》的使用範圍
2018年8月31日,PDPC頒布了《關於國民身份證及其他類別國民身份號碼的(個人數據保護法令)諮詢指引》(以下簡稱《身份號碼指引》),並自2019年9月1日起正式生效。《身份號碼指引》特彆強調對於新加坡國民身份證及身份證號的收集、使用和披露行為的規範。
根據《身份號碼指引》,機構一般不得收集、使用或披露國民身份證號碼或複印件。針對國民身份證號碼的規定,亦適用於出生證明號碼、外國人身份號碼和工作準證號碼(以上號碼在該《身份號碼指引》中統稱為「其他類別國民身份號碼」)、以及護照號碼。如確有需要收集護照號碼的,機構應將其收集限於非完整護照號碼上,並確保適當程度的安全以保護所收集的護照號碼,但法律允許的除外。這裡擇要列舉用處:
需要使用新加坡身份證號的情況:
新員工入職企業時
酒店入住登記時
在診所/醫院求醫時
申請行動電話號碼套餐時
報讀私人教育機構時
不需使用新加坡身份證號的情況:
x 免費泊車贖回服務時
x 加入任何零售會員俱樂部時
x 註冊任何服務或提交服務反饋時
x 在線購買電影票時
x 參加抽獎活動時
四、處罰案例
自PDPA生效以來,PDPC已對未盡到保護個人數據義務或侵犯個人數據的多家機構作出了處罰。據2019年8月6日公開消息,PDPC對五家機構未遵守《個人信息保護法》的行為作出了罰款。其中,
1、CDP未經授權披露CDP帳戶持有人的個人數據,被處以24,000美元的罰款;
2、Toppan Security Printing未經授權披露CDP帳戶持有人的個人數據,被處以18,000美元的罰款;
3、Horizon Fast Ferry因未能制定和實施數據保護政策,未能執行合理的安全措施來保護其客戶的個人數據而被處以54,000美元的罰款;
4、Genki Sushi由於未能實施合理的安全措施保護其員工的個人數據導致被勒索軟體攻擊而被處以16,000美元的罰款;
5、Championtutor因未聘用數據保護官以及未制定合規政策而被處以5,000美元的罰款。
而,處罰最重、影響最大的個人數據遭泄露的案例,是2019年的新康集團集群案。2018年6月27日至7月4日期間,新加坡健康服務私人有限公司(以下簡稱新康公司)的病例資料庫系統遭到網絡攻擊,黑客從公司資料庫中非法訪問和複製近150萬病人的個人數據和近160萬門診病人的處方記錄,導致大規模的病人數據泄露,是新加坡歷史上個人信息泄露最為嚴重的案件。
PDPC遂依受害人的投訴啟動了調查程序,並在綜合考慮證據、當事人陳述,以及公司方面事後所採取的有效補救措施等減輕情節後,對新康公司和綜合健康信息系統公司分別作出了25萬新加坡元(約125萬元人民幣)和75萬新加坡元(約375萬元人民幣)罰款指令。
PDPC認為,新康公司作為醫療機構可以將部分業務外包給服務供應商,但不能將其PDPA規定的法定義務亦轉移給他人。上述兩公司最終自願承認病例數據遭到泄露的事實,接受個保委的調查結果,同意按照個保委的指令承擔責任,並認為上述指令的處罰力度合理適當。
五、新加坡企業在數據合規方面,在哪些方面自查問題?
1、個人數據存儲是否儲存在內部系統或雲端(通過第三方供應商)?
2、數據存儲在以下前提下:
a)當前的IT基礎架構是否支持
b)有足夠的安全和網絡安全措施來防止數據被破壞
3、如果數據是通過第三方雲端儲存的,那麼有什麼安全措施?例如:每年進行獨立滲透測試,ISO 27001 信息安全管理系統認證和其他相關認證等。
4、在停電的情況下,是否有適當的後備措施來檢索和恢復「丟失的」 數據?包括第三方雲端提供的備份等措施。
5、在傳輸個人數據時,數據是否出於安全目的進行加密,它們是否符合相關的PDPA和/或GDPR策略?
6、其他內部措施:
- 進行風險評估,以確定信息安全安排是否適當
- 使用web應用防火牆
- 使用帶有自動更新的反病毒軟體
- 定期應用作業系統及軟體的安全更新
- 定期審查用戶訪問情況
注意,各企業必須遵守「2012個人信息保護條例」的以下條例:在PDPA於2014年7月2日生效之前收集的個人信息數據(原始收集的個人資料)可繼續使用,除非個人已撤回同意。如果在2014年7月2日之後獲得的個人信息數據,企業須通知並獲得收集、使用和披露的確認同意後方可使用個人信息數據。
六、對中資企業數據風控的建議
新加坡基礎設施完善、投資環境優越,對中國企業具有較強吸引力。但新加坡法制體系嚴密,建議中資企業應格外注意避免因運營不當或違規而導致處罰風險。
(一)增強保護所在國公民權利的意識。
數字經濟時代偏見與歧視、數據隱私、數據控制權等社會問題頻發,就新加坡市場而言,一方面,新加坡社會公民的權利意識近年來在不斷上升。另一方面,新加坡政府也在加強針對新技術的監管,如在2018年11月新加坡金融管理局(MAS)發布了其原則,以加強針對金融領域AI的公平、道德、問責制和透明度的監管(FEAT)。因此,對相關領域的中國投資者來說,一旦交易、整合和日常經營觸及數據泄露等敏感社會問題,不但面臨被法律制裁的風險,還可能引發市場信任損失,令企業經營陷入不利地位。
(二)加強合規管理。
充分理解客戶個人數據安全的重要性,尊重和保護客戶隱私權利。企業應從全面的視角,加強個人信息安全和隱私保護的能力,將數據保護要求嵌入公司制度的設立階段。除此之外,就獲取個人信息的授權以及用戶體驗的平衡點將是企業產品或服務的設計考慮中不可或缺的一部分。對於多地區經營的企業,為實現各地區開展的業務符合當地隱私保護法規的要求,應持續洞察相關法律法規的更新,並將法規的新要求轉換為公司內部的規定,優化內部流程,以保證公司開展的各類活動符合新加坡PDPA的要求。
